漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0130467
漏洞标题:陕西省全员人口个案管理信息培训系统可导致大量个人信息泄露(以及避孕情况)
相关厂商:陕西省全员人口个案管理信息培训系统
漏洞作者: 路人甲
提交时间:2015-07-30 16:48
修复时间:2015-09-17 11:48
公开时间:2015-09-17 11:48
漏洞类型:内部绝密信息泄漏
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-30: 细节已通知厂商并且等待厂商处理中
2015-08-03: 厂商已经确认,细节仅向厂商公开
2015-08-13: 细节向核心白帽子及相关领域专家公开
2015-08-23: 细节向普通白帽子公开
2015-09-02: 细节向实习白帽子公开
2015-09-17: 细节向公众公开
简要描述:
陕西省全员人口个案培训管理信息系统 使用说明泄露 可导致登录后台查询信息 而且信息为真实信息
详细说明:
无意间在百度文库:http://wenku.baidu.com/view/f3f0a27fb84ae45c3b358cf2.html看到陕西省人口个案管理信息系统的使用说明书: 域名;http://124.115.170.79:9080/pis/ 这套系统本来是作为培训用的 可是导入了真实的信息.上面写出了全省登录系统的账号分配方式以及通用密码:
得知账号分配方式为:据文库使用说明得知账户格式为P+区划代码+6个0 密码通用为八个1
测试登录::选择西安市碑林县 账户 P610204000000 密码: 11111111
本来以为没有真实信息呢 可是发现只有几条是随便输入的个人信息,其余都是真实的信息:
又登录了陕西市的账号:又登录了总管理员账户: 陕西省 P610000000000 11111111
如果说着23w条信息都是虚假的 我不信..
总结了下登录账号为P+区划代码+000000 密码 11111111
区划代码:610000 陕西省
610100 西安市
610101 市辖区
610102 新城区
610103 碑林区
610104 莲湖区
610111 灞桥区
610112 未央区
610113 雁塔区
610114 阎良区
610115 临潼区
610116 长安区
610122 蓝田县
610124 周至县
610125 户县
610126 高陵县
610200 铜川市
610201 市辖区
610202 王益区
610203 印台区
610204 耀州区
610222 宜君县
610300 宝鸡市
610301 市辖区
610302 渭滨区
610303 金台区
610304 陈仓区
610322 凤翔县
610323 岐山县
610324 扶风县
610326 眉县
610327 陇县
610328 千阳县
610329 麟游县
610330 凤县
610331 太白县
610400 咸阳市
610401 市辖区
610402 秦都区
610403 杨陵区
610404 渭城区
610422 三原县
610423 泾阳县
610424 乾县
610425 礼泉县
610426 永寿县
610427 彬县
610428 长武县
610429 旬邑县
610430 淳化县
610431 武功县
610481 兴平市
610500 渭南市
610501 市辖区
610502 临渭区
610521 华县
610522 潼关县
610523 大荔县
610524 合阳县
610525 澄城县
610526 蒲城县
610527 白水县
610528 富平县
610581 韩城市
610582 华阴市
610600 延安市
610601 市辖区
610602 宝塔区
610621 延长县
610622 延川县
610623 子长县
610624 安塞县
610625 志丹县
610626 吴起县
610627 甘泉县
610628 富县
610629 洛川县
610630 宜川县
610631 黄龙县
610632 黄陵县
610700 汉中市
610701 市辖区
610702 汉台区
610721 南郑县
610722 城固县
610723 洋县
610724 西乡县
610725 勉县
610726 宁强县
610727 略阳县
610728 镇巴县
610729 留坝县
610730 佛坪县
610800 榆林市
610801 市辖区
610802 榆阳区
610821 神木县
610822 府谷县
610823 横山县
610824 靖边县
610825 定边县
610826 绥德县
610827 米脂县
610828 佳县
610829 吴堡县
610830 清涧县
610831 子洲县
610900 安康市
610901 市辖区
610902 汉滨区
610921 汉阴县
610922 石泉县
610923 宁陕县
610924 紫阳县
610925 岚皋县
610926 平利县
610927 镇坪县
610928 旬阳县
610929 白河县
611000 商洛市
611001 市辖区
611002 商州区
611021 洛南县
611022 丹凤县
611023 商南县
611024 山阳县
611025 镇安县
611026 柞水县
漏洞证明:
修复方案:
不知道这个系统现在应该谁管,但是那么多个人信息就在那里放着...
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2015-08-03 11:47
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给陕西分中心,由其后续协调网站管理单位处置。
最新状态:
暂无